“Dicen que para atrapar a un ladrón hay que pensar como un ladrón”. Parece una frase sacada del guion de algún Western de los 70 o un thriller de sábado tarde, pero en lo que ahora nos atañe su autor poco tiene que ver con el cine. La pronuncia el doctor Mohamed Khamis, investigador de la Universidad de Glasgow. Y lo hace para presentar su último estudio: cómo con poco más que una cámara y nociones de machine learning cualquier puede descifrar nuestras contraseñas.
Mano a mano con su equipo, Khamis se propuso concretar cómo de fácil resultaría para un ladrón “cazar” cualquier código de seguridad que hayamos tecleado en un smartphone, ordenador, tablet o incluso en el cajero del banco. Para salir de dudas desarrollaron ThermoSecure, un sistema que se apoya básicamente en dos patas: una cámara termográfica y un modelo de inteligencia artificial (IA) desarrollado específicamente para leer las imágenes y descifrar códigos.
¿Cómo? Con algo en apariencia tan sencillo como nuestra “firma de calor”, el rastro que vamos dejando con las yemas de los dedos a medidas que saltan de una tecla a otra. Nosotros quizás no podamos verlas, pero las cámaras termográficas sí, y con la misma claridad que un retro negro sobre blanco si se dan las condiciones adecuadas. Sus capturas se analizan luego con una IA capaz de elaborar conjeturas con un modelo probabilístico. Suficiente para “descubrir” nuestro código.
Leyendo las teclas
“Cuanto más brillante aparece un área en la imagen térmica, más recientemente se pulsó. Al medir la intensidad relativa de las áreas más cálidas es posible determinar las letras, números o símbolos que componen la contraseña y estimar el orden en que se usaron”, señala la universidad.
Con esos datos, al atacante solo le queda probar con combinaciones para dar con la tecla adecuada (guiño, guiño). En su día el Dr. Khamis ya había demostrado que a un aficionado le llega con ver las imágenes térmicas tomadas entre 30 o 60 segundos después de haber tecleado la clave para adivinarla con éxito. Ahora a esa capacidad intuitiva se suma la valiosa ayuda de la IA.
¿Realmente resulta tan sencillo? Los datos calculados por Khamis, Norah Alotaibi y John Williamson y que acaban de publicarse en ACM Transactions on Privacy and Security son elocuentes. Durante su investigación tomaron 1.500 fotos térmicas de teclados QWERTY desde diferentes ángulos y echaron mano del machine learning para que el proceso resultara lo más “preciso” posible.
New research from @GlasgowCS, led by @MKhamisHCI, shows how thermal camera images of keyboards and screens can be analysed by AI to correctly guess computer passwords in seconds. ⌨️
— University of Glasgow (@UofGlasgow) October 10, 2022
Read more ➡️ https://t.co/5NywPqSZt7 pic.twitter.com/Olourew3zf
No les fue mal en el empeño. Descubrieron que ThermoSecure daba en el clavo en el 86% de las ocasiones si se usaba con imágenes térmicas tomadas 20 segundos después de haber utilizado el teclado, porcentaje que descendía al 76% si habían pasado 30 segundos y al 62% si el lapso era de un minuto. Incluso en ese caso la tasa de descifrado superaba con cierta holgura el 50%.
Con un margen de 20 segundos la herramienta era capaz de atacar con éxito incluso contraseñas largas, de 16 caracteres, con una tasa de intentos correctos del 67%, más que respetable. A medida que los códigos se acortaban el porcentaje mejoraba de forma ostensible: con claves de 12 símbolos ThermoSecure adivinaba en el 82% de las ocasiones, con de ocho acertaba el 93% de las veces y si las contraseñas eran de seis elementos la tasa de éxito se disparaba ya hasta el 100%.
El experimento pretende traspasar la teoría y enviar un mensaje claro, explica Khamis: con los recursos adecuados descifrar la clave que acabamos de teclear en un cajero automático de la calle, un ordenador o la pantalla de nuestro móvil resulta relativamente sencillo. Cada vez más.
“El acceso a las cámaras termográficas es más asequible que nunca, se pueden encontrar por menos de 200 libras, y el machine learning también se está volviendo cada vez más accesible. Eso hace que sea muy probable que personas de todo el mundo estén desarrollando sistemas similares a ThermoSecure para robar contraseñas”, recalca el experto de la Universidad de Glasgow.
“Es importante que la investigación en seguridad informática siga el ritmo de estos desarrollos para encontrar nuevas formas de mitigar el riesgo —incide—. También estamos interesados en destacar a los legisladores los riesgos que este tipo de ataques térmicos representan para la seguridad”.
A modo de conclusión el experto plantea algunas posibles soluciones, como replantear la venta de cámaras térmicas, prohibiendo las que no incorporen mejores mecanismos de seguridad en su software, o directamente ponérselo más difícil a quienes quieran hacerse con nuestras claves. ¿Cómo? Khamis plantea algunas que una buena forma es centrarse en los materiales.
Su herramienta resultaba mucho más efectiva con techas fabricadas con plástico ABS que con las de PBT: acertaba en más o menos el 50% de las veces en el primer caso; en el 14% en el segundo.
Otra estrategia interesante es teclear con más rapidez, dejando los dedos menos tiempo sobre las teclas, lo que reduce la duración de la “pista de calor”, utilizar contraseñas largas u optar por métodos alternativas para identificarnos en nuestros dispositivos, como la huella digital o el reconocimiento facial. “Mitigan muchos de los riesgos de un ataque térmico”, recalca el especialista.
Imágenes: University of Glasgow
Ver 12 comentarios